CN106095495A - SELinux策略的动态生成方法、装置及终端设备 - Google Patents
SELinux策略的动态生成方法、装置及终端设备 Download PDFInfo
- Publication number
- CN106095495A CN106095495A CN201610389160.9A CN201610389160A CN106095495A CN 106095495 A CN106095495 A CN 106095495A CN 201610389160 A CN201610389160 A CN 201610389160A CN 106095495 A CN106095495 A CN 106095495A
- Authority
- CN
- China
- Prior art keywords
- application program
- strategy
- selinux
- selinux strategy
- described application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 73
- 230000008569 process Effects 0.000 claims description 27
- 238000004458 analytical method Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 14
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 3
- 244000035744 Hura crepitans Species 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000010977 unit operation Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
- G06F9/4451—User profiles; Roaming
Abstract
本发明公开了一种SELinux策略的动态生成方法、装置及终端设备。该方法包括:解析终端设备新安装的应用程序的敏感权限的配置文件;获得所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系;以及根据获得的所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系,生成所述应用程序的SELinux策略。该方法能够动态生成应用程序的SELinux策略,通过SELinux策略的控制保证从第三方应用商店下载并安装的应用程序的权限不会出现过大的情况,从而确保终端设备的安全性。
Description
技术领域
本发明涉及终端设备安全技术领域,具体而言,涉及一种SELinux策略的动态生成方法、装置及终端设备。
背景技术
SELinux(Security-Enhanced Linux,安全增强Linux)是一种美国国家安全局(NSA)制定的对于强制访问控制(MAC)的实现方法,是Linux操作系统中新的安全子系统。当终端设备加载了SELinux安全子系统后,能够极大地提高其操作系统的安全等级。
SELinux策略是SELinux安全子系统实现强制访问控制的重要组成部分。在SELinux策略中包含了整个操作系统中主体对客体的访问控制。对于加载了SELinux安全子系统的终端设备,当其从第三方应用商店中下载并安装了一个新的应用程序后,如果没有为该应用程序配置适当的SELinux策略,则该应用程序将无法使用。因此需要一种能够动态生成应用程序的SELinux策略的方法。
在所述背景技术部分公开的上述信息仅用于加强对本发明的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本发明提供一种SELinux策略的动态生成方法、装置及终端设备,能够动态生成应用程序的SELinux策略。
本发明的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本发明的实践而习得。
根据本发明的一方面,提供了一种SELinux策略的动态生成方法,包括:解析终端设备新安装的应用程序的敏感权限的配置文件;获得所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系;以及根据获得的所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系,生成所述应用程序的SELinux策略。
根据本发明的一实施方式,上述方法还包括:加载生成的所述应用程序的SELinux策略。
根据本发明的一实施方式,所述加载生成的所述应用程序的SELinux策略包括:借由一后台服务进程,通过进程间消息通信获取生成的所述应用程序的SELinux策略;以及将所述应用程序的SELinux策略加载至所述终端设备的操作系统的内核中。
根据本发明的一实施方式,所述解析终端设备新安装的应用程序的敏感权限的配置文件包括:当所述终端设备新安装了所述应用程序时,解析所述应用程序的敏感权限的配置文件。
根据本发明的一实施方式,所述解析终端设备新安装的应用程序的敏感权限的配置文件包括:当所述终端设备新安装了所述应用程序时,根据所述终端设备与一云端设备之间通信传输的速度,确定下载所述应用程序的SELinux策略所需的时间;判断从所述云端设备下载所述应用程序的SELinux策略所需的时间是否短于动态生成所述应用程序的SELinux策略所需的时间;当从所述云端设备下载所述应用程序的SELinux策略所需的时间短于动态生成所述应用程序的SELinux策略所需的时间时,向所述云端设备发送所述应用程序的SELinux策略请求;以及当接收到所述云端设备发送的无新安装的所述应用程序的SELinux策略的指示时,解析所述应用程序的敏感权限的配置文件。
根据本发明另一方面,提供了一种SELinux策略的动态生成装置,包括:文件解析模块,用于解析终端设备新安装的应用程序的敏感权限的配置文件;内容获得模块,用于获得所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系;以及策略生成模块,用于根据获得的所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系,生成所述应用程序的SELinux策略。
根据本发明的一实施方式,上述装置还包括:策略加载模块,用于加载生成的所述应用程序的SELinux策略。
根据本发明的一实施方式,所述策略加载模块包括:获取子模块,用于借由一后台服务进程,通过进程间消息通信获取生成的所述应用程序的SELinux策略;以及加载子模块,用于将所述应用程序的SELinux策略加载至所述终端设备的操作系统的内核中。
根据本发明的一实施方式,所述文件解析模块包括:第一解析子模块,用于当所述终端设备新安装了所述应用程序时,解析所述应用程序的敏感权限的配置文件。
根据本发明的一实施方式,所述文件解析模块包括:时间确定子模块,用于当所述终端设备新安装了所述应用程序时,根据所述终端设备与一云端设备之间通信传输的速度,确定下载所述应用程序的SELinux策略所需的时间;时间判断子模块,用于判断从所述云端设备下载所述应用程序的SELinux策略所需的时间是否短于动态生成所述应用程序的SELinux策略所需的时间;请求发送子模块,用于当从所述云端设备下载所述应用程序的SELinux策略所需的时间短于动态生成所述应用程序的SELinux策略所需的时间时,向所述云端设备发送所述应用程序的SELinux策略请求;以及第二解析子模块,用于当接收到所述云端设备发送的无新安装的所述应用程序的SELinux策略的指示时,解析所述应用程序的敏感权限的配置文件。
根据本发明再一方面,提供了一种终端设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中所述处理器配置为经由执行所述可执行指令来执行以下操作:解析终端设备新安装的应用程序的敏感权限的配置文件;获得所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系;以及根据获得的所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系,生成所述应用程序的SELinux策略。
根据本发明的SELinux策略的动态生成方法,能够动态生成应用程序的SELinux策略,通过SELinux策略的控制保证从第三方应用商店下载并安装的应用程序的权限不会出现过大的情况,从而确保终端设备的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本发明。
附图说明
通过参照附图详细描述其示例实施例,本发明的上述和其它目标、特征及优点将变得更加显而易见。
图1是根据一示例性实施方式示出的一种SELinux策略的动态生成方法的流程图。
图2是根据一示例性实施方式示出的另一种SELinux策略的动态生成方法的流程图。
图3是根据一示例性实施方式示出的一种SELinux策略的动态生成装置的框图。
图4是根据一示例性实施方式示出的另一种SELinux策略的动态生成装置的框图。
图5是根据一示例性实施方式示出的再一种SELinux策略的动态生成装置的框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本发明将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。附图仅为本发明的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本发明的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本发明的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知结构、方法、装置、实现或者操作以避免喧宾夺主而使得本发明的各方面变得模糊。
图1是根据一示例性实施方式示出的一种SELinux策略的动态生成方法的流程图。如图1所示,该方法10包括:
在步骤S102中,当终端设备新安装了一个应用程序时,解析该应用程序的敏感权限的配置文件。
一个应用程序的进程就是一个安全的沙盒,其不能干扰其他应用程序的进程处理。但当一个应用程序的进程被显示地声明为“permissions(许可)”时,该进程就可以获取普通进程不具备的能力,例如通过自主访问控制(DAC)进行更加细化的访问控制。终端设备的操作系统中通常均具有敏感权限控制。
在步骤S104中,获得该应用程序涉及的主体和客体以及两者之间的关系。
SELinux是一套基于策略的安全系统。在其安全策略中,通过标签的设定来实现主体对客体的控制。其中主体可以为终端设备中运行的每个进程,客体则为系统中的所有资源,包括:文件系统、目录、文件、文件启动指示符、端口、消息接口和网络接口等。每个进程都拥有自己的标签,而每个客体对象也都拥有自己的标签。通过编写的SELinux安全策略,来控制进程标签可以对客体对象标签进行访问,如文件访问、读写及SOCKET操作等。例如,通过策略配置,允许标签为A的进程对标签为B的文件进行读写操作;或者,允许标签为C的进程对标签为D的消息接口进行SOCKET通信等。在终端设备被启动时,将SELinux策略文件加载到内核中,从而实现后续SELinux的强制访问控制。
因此通过解析该应用程序的敏感权限的配置文件,获得生成该应用程序的SELinux策略所需的主体和客体以及两者之间的关系后,即可生成该应用程序相应的SELinux策略。
如上所述,具有敏感权限的进程可以通过自主访问控制进行更加细化的访问控制。因此,通过解析敏感权限的配置文件,可以获得上述主体和客体对象及两者之间的关系。通常,通过第三方应用商店下载并安装的应用程序要求访问的客体对象资源比较固定,如一些公共文件及进程间通信等,并且通过参考安全沙盒的机制被限定在一个固定目录和uid中。而对于其他客体对象资源,则可以通过设定SELinux策略来限定对这些客体对象的访问权限。
在步骤S106中,根据获得的该应用程序涉及的主体和客体以及两者之间的关系,生成该应用程序的SELinux策略。
例如可以通过调用SELinux策略生成工具check_policy等来根据获得的该应用程序的SELinux策略所需的主体和客体以及两者之间的关系,生成该应用程序的SELinux策略。
上述步骤S102~S106例如可以在应用层中的应用商店应用程序中增加新的SELinux策略生成模块来实现。此外,在一些实施例中,方法10还可以进一步包括:在步骤S108中,加载生成的该应用程序的SELinux策略。
具体地,新开发一个后台进程,该进程为一权限较高的服务进程,用于与上述SELinux策略生成模块进行通信(例如可以通过进程间的dbus消息通信),从而交互SELinux策略生成模块生成的新安装的应用程序的SELinux策略。该后台进程接收到该SELinux策略后,例如可以通过SELinux策略加载工具load_policy将该SELinux加载至终端设备操作系统的内核中。
本发明实施方式的SELinux策略的动态生成方法,能够动态生成应用程序的SELinux策略,通过SELinux策略的控制保证从第三方应用商店下载并安装的应用程序的权限不会出现过大的情况,从而确保终端设备的安全性。
应清楚地理解,本发明描述了如何形成和使用特定示例,但本发明的原理不限于这些示例的任何细节。相反,基于本发明公开的内容的教导,这些原理能够应用于许多其它实施方式。
图2是根据一示例性实施方式示出的另一种SELinux策略的动态生成方法的流程图。与图1所示的方法10不同之处在于,该方法进一步通过当前网络的传输速度判断从一云端设备下载新安装的应用程序的SELinux策略所需的时间与本地动态生成该SELinux策略所需的时间的长短,来确定是根据如方法10中所述的本地生成的方法来本地生成该SELinux策略,还是从云端设备下载该SELinux策略。通常本地动态生成SELinux策略的时间为一个固定的时间,可通过测量获得该时间值。
如图2所示,该方法20包括:
在步骤S202中,当终端设备新安装了一个应用程序时,根据该终端设备与一云端设备之间通信传输的速度,确定下载该应用程序的SELinux策略所需的时间。
虽然不同应用程序的SELinux策略文件大小有可能不同,但可以通过一个预设的文件大小,计算传输该SELinux策略所需的大致时间。该预设的文件大小可以为预估的SELinux策略的文件大小,也可以为根据一经验值设定的SELinux策略的平均文件大小值。
此外,终端设备与云端设备之间的通信连接还可以为一VPN连接,从而保证SELinux策略传输的安全性。
在步骤S204中,判断从云端设备下载该应用程序的SELinux策略所需的时间是否短于本地动态生成该应用程序的SELinux策略所需的时间,如果是,则进入步骤S206;否则,进入步骤S214。
在步骤S206中,向该云端设备发送该应用程序的SELinux策略请求。
在步骤S208中,接收云端设备返回的响应。
在步骤S210中,判断从云端设备接收到的响应,如果接收到的是该新安装的应用程序的SELinux策略,则执行步骤S212;如果接收到的是无该新安装的应用程序的SELinux策略的指示,则执行步骤S214。
当云端设备存储该新安装的应用程序的SELinux策略时,接收从云端设备返回的该新安装的应用程序的SELinux策略;而当云端设备没有存储该新安装的应用程序的SELinux策略时,接收云端设备发送的无该新安装的应用程序的SELinux策略的响应。
通常,针对不同型号的终端设备,即使所安装的应用程序相同,但该应用程序对应的SELinux策略也不同。因此,云端设备在查找其是否存储有该新安装的应用程序的SELinux策略时,还需要确定所存储的该应用程序的SELinux策略所对应的终端设备的型号。如果该型号不是申请SELinux策略的终端设备的型号,则也确认为没有存储该新安装的应用程序的SELinux策略。终端设备的型号例如可以携带在该应用程序的的SELinux策略请求中。或者,云端设备也可以从与终端设备所建立的底层通信连接中获得。
此外,即使相同型号的终端设备安装的相同的应用程序,如果该应用程序在个别终端设备上有特别权限(例如主体进程权限)的需求,则该应用程序对应的SELinux策略也会不同。因此,终端设备在向云端设备请求时,需要在请求中指明特别权限。而云端设备在查找是否存储该应用程序的SELinux策略时,也需要判断所存储的该应用程序的SELinux策略是否有特别权限的要求。
此外,云端设备在接收到终端设备的策略请求时,云端设备还可以对该终端设备及其请求的应用程序进行审核。其审核标准例如可以是根据云端设备已存储的合法设备ID号对请求的终端设备进行审核,而对应用程序的审核例如可以是根据终端设备已存储的合法应用程序对请求的应用程序进行审核。仅当终端设备和应用程序的审核均被通过时,云端设备才会向该终端设备发送其请求的应用程序的SELinux策略。在一些实施例中,云端设备存储的合法设备ID和/或合法应用程序可以从一数据库中导入。
在步骤S212中,加载该新安装的应用程序的SELinux策略。
在步骤S214中,解析该应用程序的敏感权限的配置文件。
在步骤S216中,获得该应用程序涉及的主体和客体以及两者之间的关系。
在步骤S218中,根据获得的该应用程序涉及的主体和客体以及两者之间的关系,生成该应用程序的SELinux策略。
上述步骤S214~S218与方法10中的步骤S102~S106相同,在此不再赘述。
步骤S218之后,进入步骤S212,加载该新安装的应用程序的SELinux策略。
本发明实施方式的SELinux策略的动态生成方法,进一步提供了一种从云端设备下载新安装的SELinux策略的方法。如果从云端设备下载该SELinux策略所需的时间短于动态生成该SELinux策略的时间,则可以向云端设备发送策略的下载请求,从而加快获得SELinux策略的时间。
本领域技术人员可以理解实现上述实施方式的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本发明提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本发明示例性实施方式的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本发明装置实施例,可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节,请参照本发明方法实施例。
图3是根据一示例性实施方式示出的一种SELinux策略的动态生成装置的框图。如图3所示,该装置30包括:文件解析模块302、内容获得模块304及策略生成模块306。
文件解析模块302用于解析终端设备新安装的应用程序的敏感权限的配置文件。
在一些实施例中,文件解析模块302包括:第一解析子模块3022,用于当所述终端设备新安装了所述应用程序时,解析所述应用程序的敏感权限的配置文件。
内容获得模块304用于获得所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系。
策略生成模块306用于根据获得的所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系,生成所述应用程序的SELinux策略。
本发明实施方式的SELinux策略的动态生成装置,能够动态生成应用程序的SELinux策略,通过SELinux策略的控制保证从第三方应用商店下载并安装的应用程序的权限不会出现过大的情况,从而确保终端设备的安全性。
图4是根据一示例性实施方式示出的另一种SELinux策略的动态生成装置的框图。如图4所示,该装置40包括:文件解析模块402、内容获得模块404、策略生成模块406及策略加载模块408。
文件解析模块402用于解析终端设备新安装的应用程序的敏感权限的配置文件。
内容获得模块404用于获得所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系。
策略生成模块406用于根据获得的所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系,生成所述应用程序的SELinux策略。
策略加载模块408用于加载生成的所述应用程序的SELinux策略。
在一些实施例中,策略加载模块408包括:获取子模块4082及加载子模块4084。获取子模块4082用于借由一后台服务进程,通过进程间消息通信获取生成的所述应用程序的SELinux策略。加载子模块4084用于将所述应用程序的SELinux策略加载至所述终端设备的操作系统的内核中。
需要注意的是,上述附图中所示的框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
图5是根据一示例性实施方式示出的再一种SELinux策略的动态生成装置的框图。如图5所示,该装置50包括:文件解析模块502、内容获得模块504及策略生成模块506。
文件解析模块502包括:时间确定子模块5022、时间判断子模块5024、请求发送子模块5026及第二解析子模块5028。
时间确定子模块5022用于当所述终端设备新安装了所述应用程序时,根据所述终端设备与一云端设备之间通信传输的速度,确定下载所述应用程序的SELinux策略所需的时间。
时间判断子模块5024用于判断从所述云端设备下载所述应用程序的SELinux策略所需的时间是否短于动态生成所述应用程序的SELinux策略所需的时间。
请求发送子模块5026用于当从所述云端设备下载所述应用程序的SELinux策略所需的时间短于动态生成所述应用程序的SELinux策略所需的时间时,向所述云端设备发送所述应用程序的SELinux策略请求。
第二解析子模块5028用于当接收到所述云端设备发送的无新安装的所述应用程序的SELinux策略的指示时,解析所述应用程序的敏感权限的配置文件。
内容获得模块504用于获得所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系。
策略生成模块506用于根据获得的所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系,生成所述应用程序的SELinux策略。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本发明实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本发明实施方式的方法。
以上具体地示出和描述了本发明的示例性实施方式。应可理解的是,本发明不限于这里描述的详细结构、设置方式或实现方法;相反,本发明意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
Claims (11)
1.一种SELinux策略的动态生成方法,其特征在于,包括:
解析终端设备新安装的应用程序的敏感权限的配置文件;
获得所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系;以及
根据获得的所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系,生成所述应用程序的SELinux策略。
2.根据权利要求1所述的方法,其特征在于,还包括:加载生成的所述应用程序的SELinux策略。
3.根据权利要求2所述的方法,其特征在于,所述加载生成的所述应用程序的SELinux策略包括:
借由一后台服务进程,通过进程间消息通信获取生成的所述应用程序的SELinux策略;以及
将所述应用程序的SELinux策略加载至所述终端设备的操作系统的内核中。
4.根据权利要求1或2所述的方法,其特征在于,所述解析终端设备新安装的应用程序的敏感权限的配置文件包括:
当所述终端设备新安装了所述应用程序时,解析所述应用程序的敏感权限的配置文件。
5.根据权利要求1或2所述的方法,其特征在于,所述解析终端设备新安装的应用程序的敏感权限的配置文件包括:
当所述终端设备新安装了所述应用程序时,根据所述终端设备与一云端设备之间通信传输的速度,确定下载所述应用程序的SELinux策略所需的时间;
判断从所述云端设备下载所述应用程序的SELinux策略所需的时间是否短于动态生成所述应用程序的SELinux策略所需的时间;
当从所述云端设备下载所述应用程序的SELinux策略所需的时间短于动态生成所述应用程序的SELinux策略所需的时间时,向所述云端设备发送所述应用程序的SELinux策略请求;以及
当接收到所述云端设备发送的无新安装的所述应用程序的SELinux策略的指示时,解析所述应用程序的敏感权限的配置文件。
6.一种SELinux策略的动态生成装置,其特征在于,包括:
文件解析模块,用于解析终端设备新安装的应用程序的敏感权限的配置文件;
内容获得模块,用于获得所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系;以及
策略生成模块,用于根据获得的所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系,生成所述应用程序的SELinux策略。
7.根据权利要求6所述的装置,其特征在于,还包括:策略加载模块,用于加载生成的所述应用程序的SELinux策略。
8.根据权利要求7所述的装置,其特征在于,所述策略加载模块包括:
获取子模块,用于借由一后台服务进程,通过进程间消息通信获取生成的所述应用程序的SELinux策略;以及
加载子模块,用于将所述应用程序的SELinux策略加载至所述终端设备的操作系统的内核中。
9.根据权利要求6或7所述的装置,其特征在于,所述文件解析模块包括:
第一解析子模块,用于当所述终端设备新安装了所述应用程序时,解析所述应用程序的敏感权限的配置文件。
10.根据权利要求6或7所述的装置,其特征在于,所述文件解析模块包括:
时间确定子模块,用于当所述终端设备新安装了所述应用程序时,根据所述终端设备与一云端设备之间通信传输的速度,确定下载所述应用程序的SELinux策略所需的时间;
时间判断子模块,用于判断从所述云端设备下载所述应用程序的SELinux策略所需的时间是否短于动态生成所述应用程序的SELinux策略所需的时间;
请求发送子模块,用于当从所述云端设备下载所述应用程序的SELinux策略所需的时间短于动态生成所述应用程序的SELinux策略所需的时间时,向所述云端设备发送所述应用程序的SELinux策略请求;以及
第二解析子模块,用于当接收到所述云端设备发送的无新安装的所述应用程序的SELinux策略的指示时,解析所述应用程序的敏感权限的配置文件。
11.一种终端设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中所述处理器配置为经由执行所述可执行指令来执行以下操作:
解析终端设备新安装的应用程序的敏感权限的配置文件;
获得所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系;以及
根据获得的所述应用程序涉及的主体和客体对象及所述主体和所述客体对象之间的关系,生成所述应用程序的SELinux策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610389160.9A CN106095495B (zh) | 2016-06-02 | 2016-06-02 | SELinux策略的动态生成方法、装置及终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610389160.9A CN106095495B (zh) | 2016-06-02 | 2016-06-02 | SELinux策略的动态生成方法、装置及终端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106095495A true CN106095495A (zh) | 2016-11-09 |
| CN106095495B CN106095495B (zh) | 2019-11-15 |
Family
ID=57447206
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610389160.9A Active CN106095495B (zh) | 2016-06-02 | 2016-06-02 | SELinux策略的动态生成方法、装置及终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106095495B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113742703A (zh) * | 2021-08-20 | 2021-12-03 | 深圳Tcl新技术有限公司 | 一种应用程序管控方法、装置、电子设备和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作系统强制访问控制机制的实施方法 |
| CN105553961A (zh) * | 2015-12-11 | 2016-05-04 | 北京元心科技有限公司 | 应用程序的强制访问控制方法、系统和管理服务器 |
-
2016
- 2016-06-02 CN CN201610389160.9A patent/CN106095495B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作系统强制访问控制机制的实施方法 |
| CN105553961A (zh) * | 2015-12-11 | 2016-05-04 | 北京元心科技有限公司 | 应用程序的强制访问控制方法、系统和管理服务器 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113742703A (zh) * | 2021-08-20 | 2021-12-03 | 深圳Tcl新技术有限公司 | 一种应用程序管控方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106095495B (zh) | 2019-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11888858B2 (en) | Calculus for trust in edge computing and named function networks | |
| US9922045B2 (en) | Data management in a multi-tenant distributive environment | |
| CN101960446B (zh) | 基于安全浏览器的应用 | |
| US9603011B1 (en) | Selective regulation of information transmission from mobile applications to third-party privacy compliant target systems | |
| US20130067600A1 (en) | Selective file access for applications | |
| CN111416811B (zh) | 越权漏洞检测方法、系统、设备及存储介质 | |
| US9665465B1 (en) | Automated determination of application permissions | |
| EP2993603B1 (en) | Permission determining method and device for application program | |
| KR20230005308A (ko) | 클러스터에서의 미승인된 패키지 배치 금지 | |
| US20140006789A1 (en) | Devices, systems, and methods for monitoring and asserting trust level using persistent trust log | |
| CN109522751B (zh) | 访问权限控制方法、装置、电子设备及计算机可读介质 | |
| US10936747B2 (en) | Privacy annotation from differential analysis of snapshots | |
| US10956232B2 (en) | Instructing the use of application programming interface commands in a runtime environment | |
| US11470068B2 (en) | System and methods for securely storing data for efficient access by cloud-based computing instances | |
| US11960578B2 (en) | Correspondence of external operations to containers and mutation events | |
| CN114254336A (zh) | 用于通过使用边界标签来实施数据边界的方法、装置和系统 | |
| CN104036194A (zh) | 一种应用程序中泄露隐私数据的漏洞检测方法及装置 | |
| US20170249143A1 (en) | Detecting open source components built into mobile applications | |
| US10757179B2 (en) | Assigning client virtual machines based on location | |
| US11038892B2 (en) | Dynamically generating restriction profiles for managed devices | |
| US9021479B2 (en) | Enforcing machine deployment zoning rules in an automatic provisioning environment | |
| US20190236269A1 (en) | Detecting third party software elements | |
| US10805802B1 (en) | NFC-enhanced firmware security | |
| CN106095495A (zh) | SELinux策略的动态生成方法、装置及终端设备 | |
| CN112437123A (zh) | 资源管理方法、装置、计算机系统、可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210126 Address after: 101300 room 153, 1 / F, building 17, 16 Caixiang East Road, Nancai Town, Shunyi District, Beijing Patentee after: Yuanxin Information Technology Group Co.,Ltd. Address before: 100176 room 2222, building D, building 33, 99 Kechuang 14th Street, Beijing Economic and Technological Development Zone, Beijing Patentee before: BEIJING YUANXIN SCIENCE & TECHNOLOGY Co.,Ltd. |
|
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20161109 Assignee: Beijing Yuanxin Junsheng Technology Co.,Ltd. Assignor: Yuanxin Information Technology Group Co.,Ltd. Contract record no.: X2021110000018 Denomination of invention: SELinux policy dynamic generation method, device and terminal device Granted publication date: 20191115 License type: Common License Record date: 20210531 |